Protéger votre Quadro des attaques SIP
Avec une téléphonie IP devenant de plus en plus populaire, cela attire l'attention de ceux qui souhaiteraient passer des appels gratuits au dépend d'autres personnes. Les appareils SIP sont attaqués continuellement, avec l'intention de trouver l'identifiant et le mot de passe des comptes sur l'appareil, leur permettant ainsi de passer des appels gratuits non autorisés au dépend du propriétaire.
Les attaques SIP mentionnées ci-dessus ou les "dénis de service" peuvent être potentiellement dangereux pour votre IP PBX et pas seulement pour le dommage financier qu'il va causer à l'entreprise. Dans certains cas, l'attaque peut ajouter du stress additionnel sur l'IP PBX et l'utilisateur du produit peut diagnostiquer le problème comme une faille de l'appareil, alors qu'en fait leur IP PBX est attaqué ou exploité.
Comme Epygi s'efforce de fournir un excellent service client à la fois à ses distributeurs et à ses grossistes dans le monde entier, nous souhaiterions informer nos clients sur ce que nous pouvons faire pour éviter ces attaques SIP sur votre Quadro.
Il y a certaines préventions qui pourraient être prises au moment de l'installation. Comme la Quadro utilise le port WAN pour se connecter à Internet, où l'attaque SIP potentielle peut avoir lieu, securiser le port WAN port serait la première cible.
Il y a en fait 3 cas possibles lors de l'usage du port WAN :
************************************************************************
Cas 1: L'interface WAN n'est pas utilisé pour les appels SIP, mais seulement pour la gestion à distance ou d'autres activité non liée.
Solution: Dans ce cas, la meilleure solution est de mettre le niveau du firewall du Quadro à High et enlever le "SIP Access" dans les règles de filtrage du firewall.
************************************************************************
Case 2: L'interface WAN est utilisé pour des appels SIP mais seulement depuis ouo vers des destinations SIP spécifiques. Ces dernières peuvent être un serveur ITSP, d'autres Quadros dans un lieu différent ou des téléphones IP à distance, dans la mesure où ils ont tous une adresses IP fixes.
Solution: Dans ce cas, vous pouvez également placer le niveau du firewall au plus haut et éditer des règles de "SIP Access" pour permettre l'accès à un groupe IP spécifique. Vous pouvez ajouter ce groupe dans la page "IP Pool Configuration" page ("Manage IP Pool Groups" link in "Filtering Rules") et y ajouter la liste des adresses IP fixes. Vous aurez alors besoin d'éditer des règles "SIP Access" pour choisir ce groupe au lieu de n'importe quel IP. N'oublier pas d'autoriser la règle après son édition. Une note supplémentaire: si vous accédez à la page configuration web de la Quadro depuis le WAN, assurez vous que vous avez ajouter votre adresse IP à la table "Management Access" avant d'augmenter le niveau du firewall, sinon votre IP sera immédiatement bloqué !
************************************************************************
Case 3: C'est le cas le plus complexe - Si vous avez besoin de passer ou de recevoir des appels SIP depuis ou vers des appareils ayant des adresses IP dynamiques. Cela peut être d'autres Quadros situés à distance (si pour quelques raisons vous ne pouvez pas leur donner des adresses IP fixes) ou des téléphones à distance utilisés par des personnes voyageant pour se connecter à des lignes à distances.
Solution: Cela peut-être vraiment difficile dans ce cas de sécuriser à 100% le système, mais il est possible de le faire. Vous devez utiliser le VPN pour sécuriser la Quadro, et faire se connecter les utilisateurs à distance à la Quadro en utilisant un router (dans le cas d'un appareil SIP à distance) ou en utilisant une connexion VPN sur leurs ordinateurs portables (dans le cas d'une personne voyageant connectée en extension à distance). Si vous utilisez un ordinateur portable avec Windows, installer le PPTP VPN pourrait être l'option la plus appropriée.
Voici 3 options pour l'installation au côté de la Quadro (toutes ces options partent du fait que vous utilisiez un niveau haut ou moyen de sécurité sur le firewall de la Quadro et que vous ouvrez seulement les accès SIP aux appareils ayant des adresses IP fixes):
Option A (simple, économique, mais limitée). Utiliser le propre VPN de la Quadro pour vous connecter au clients à distance (Quadro en tant que serveur VPN). Cela fonctionnera, mais limitera fortement le nombre de téléphones IP qui pourront se connecter à distance. Le Quadro n'ets pas un appareil VPN de base, le charger à un trafic VPN élevé (tels que des appels simultanés) est donc indésirable, car il peut affecter d'autres fonctionnalités utilisateur.
Option B. Installer le Quadro derrière un router VPN ou un appareil gérant le NAT puissant. Le Quadro aura son firewall ouvert pour certaines adresses IP sélectionnées sur internet, et une intervalle IP sélectionnée dans le réseau local de ce router VPN ou un appareil gérant le NAT. Les appareils à distance doivent se connecter à travers le VPN et pour une connexion au delà récupérer l'adresse IP depuis la Quadro locale.
Option C. Connecter un router VPN connecté en parallèle au Quadro. Le WAN du router sera connecté au même réseau que le WAN du Quadro (ou vous pouvez avoir à la fois le Quadro et le router VPN affectés à des adresses IP réels). Le LAN du router VPN est connecté au même réseau que le LAN du Quadro. Les personnes à distance avec leur laptops pourront se connecter au router VPN, et de cette façon, ils pourront étendre le réseau LAN du Quadro. Le Quadro les reconnaîtra alors en tant qu'équipement de référence dans son LAN.
Les deux dernières optionsproposées ci-dessus sont faisable et ce sont d'assez bonnes solutions. Elles nécessite seulement quelques dépense additionnelles du client (dans le cas où le client a des exigences de sécurité élevées avec des besoins de portabilité) et quelques connaissances réseau de l'intégrateur. Ces dernières sont les instructions/idées générales sur comment résoudre le problème.
Et le dernier mais pas le moindre - si pour quelques raisons vous ne pouvez utiliser les méthodes ci-dessus, vous pouvez toujours utiliser les fonctions "SIP IDS" du Quadro. Epygi ne garantie pas que le SIP IDS bloquera n'importe quelle attaque mais cela vous aidera vraiment dans beaucoup de cas. Vous pouvez le trouver dans le "generalconfig.cgi" caché (pour les anciennes versions 5.2), ou depuis lea page "System"->"System Security Management" dans les nouvelles versions.